MENU
12. Juli 2023 | Text: Markus Selinger | Antivirus für Windows
  • Beitrag teilen:

Advanced Threat Protection gegen aktuelle Data Stealer- und Ransomware-Techniken

Schutzlösungen für private Windows-PCs oder Arbeitsstationen in Unternehmen benötigen den besten Schutz gegen die neuesten Angriffstechniken. Das Labor von AV-TEST hat insgesamt 25 Schutzprodukte unter Windows 11 untersucht, ob sie auch die neue Angriffstechnik „Inline Execute-Assembly“ von Data Stealern und Ransomware erkennen und abwehren. Der Advanced Threat Protection-Test gibt klare Auskunft darüber, welche Produkte gut gegen neueste Bedrohungen schützen – und welche nicht.

Schutz gegen Data Stealer und Ransomware – 25 Security-Lösungen im Test unter Windows 11
Schutz gegen Data Stealer und Ransomware –

25 Security-Lösungen im Test unter Windows 11

zoom

Man muss kein Security-Spezialist sein, um zu wissen, dass die Cyberbedrohung in den letzten Jahren massiv gewachsen ist. Angriffe auf Windows-Systeme, folgender Datendiebstahl oder Datenverschlüsselung und Erpressung zur Freigabe der Daten sind leider täglicher Fakt. Daher ist es wichtig, dass Schutzprodukte für private Nutzer oder Unternehmen technisch immer auf dem neuesten Stand sind und auch die perfidesten Attacken nicht nur erkennen, sondern auch wirklich aufhalten können. Genau diesen Punkt klärt der Advanced Threat Protection-Test mit 25 Schutzprodukten unter Windows 11. Das Labor hat die Untersuchung im März und April 2023 ausgeführt und nun die umfangreichen Daten veröffentlicht.

25 Schutzprodukte gegen Data Stealer und Ransomware

Die mit am meisten genutzten Angriffswaffen sind Data Stealer und Ransomware. Sie gleichen sich in den ersten Schritten der Attacken. Sobald er auf dem System ist, sammelt der Data Stealer Informationen zu wichtigen Dateien und überträgt sie an den Angreifer. Eine Ransomware hält zwar ebenfalls Ausschau nach wichtigen Dateien, aber mit dem Ziel, sie abschließend zu verschlüsseln.

In dieser Untersuchung achten die Tester auf eine besondere Angriffstechnik: die „Inline Execute-Assembly“. In sehr einfachen Worten ausgedrückt wird dabei ein sonst harmloser Windows-Prozess in einer .Net Laufzeitumgebung missbraucht. Es wird ein Prozess ausgesucht, mit Schadcode versehen und dann gestartet. Zusätzlich wird per AMSI-Bypass das Antimalware Scan Interface (AMSI) umgangen. Das ist die von Microsoft bereitgestellte Scan-API, die von Antivirenlösungen genutzt wird. Weiterhin wird die in Windows integrierte Ereignisablaufverfolgung (Event-Tracing) lahmgelegt, damit der Prozessablauf nicht weiterverfolgt werden kann. Klappt das alles, hat die Malware freie Bahn. Eine gute Schutzlösung kann den weiteren Ablauf dennoch verhindern, etwa den Datenabfluss oder die Verschlüsselung.

Schutz gegen Ransomware und Data Stealer unter Windows

Im erweiterten Live-Test, dem Advanced Threat Protection-Test, prüft das Labor von AV-TEST Schritt für Schritt, wie gut Schutzpakete aktuelle Data Stealer und Ransomware unter Windows 11 aufhalten

zoom ico
Endpoint-Security gegen Ransomware und Data Stealer

Im Advanced Threat Protection-Test zeigen Security-Lösungen, wie gut sie Endpoints mit Windows 11 in Unternehmen vor Data Stealern und Ransomware beschützen, welche die Angriffstechnik „Inline Execute-Assembly“ verwenden

zoom ico

1

Schutz gegen Ransomware und Data Stealer unter Windows

2

Endpoint-Security gegen Ransomware und Data Stealer

In diesem Test hat das Labor 5 Exemplare von Data Stealern und 5 Exemplare von Ransomware per Spear-Phishing-E-Mail an die Test-Systeme geschickt. Danach landeten sie zuerst auf dem System und wurden im nächsten Schritt aktiv. Bereits bei diesen beiden Schritten erkennen viele Produkte die Gefahr und wehren den Angriff ab. Ist das nicht der Fall, sammeln die Data Stealer Informationen zu den Daten, um sie danach an einen C2-Server zu „exfiltrieren“. Die Ransomware sammelt zwar auch Informationen, aber mit dem Ziel, eine Dateiliste an den C2-Server zu schicken, während die Verschlüsslung der Daten startet. Die 10 Szenario-Grafiken zeigen die Angriffsabläufe. Die Fälle 1 bis 5 beschreiben den Angriff von Data Stealern und die Fälle 6 bis 10 die Angriffe von Ransomware.

Noch eine Besonderheit in diesem Test: das Labor vergibt Punkte für markante, erkannte Angriffsschritte. Das sind bei jedem Data Stealer 4 Punkte und bei Ransomware bis zu 3 Punkte. Daher liegt die Bestmarke für den Schutz-Score in diesem Test bei 35 Punkten.

Eine ausführliche Erklärung zu den Auswertungstabellen und den einzelnen Farbcodes im Ampelsystem finden Sie im Artikel „Test und Studie: Halten Schutzlösungen aktuelle Ransomware unter Windows 11 auf?“

Die 10 Testszenarien

Alle Angriffs-Szenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1566.001,“ stehen in der MITRE-Datenbank für „Techniques“ unter „Phishing: Spearphishing Attachment“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen. Zusätzlich sind alle Angriffstechniken erklärt und wie dabei die Malware zum Zuge kommt.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Advanced Test: Schutz für Privatanwender

Insgesamt 10 Produkte für private Anwender stellen sich dem Advanced Threat Protection-Test unter Windows 11. Sie kommen von AhnLab, Bitdefender, F-Secure, Kaspersky, Malwarebytes, McAfee, Microsoft, Microworld, Norton, PC Matic.

Außer Microworld können sich alle Produktanbieter über ein perfektes Ergebnis freuen. Alle Szenarien werden bereits im Keim erstickt. Die Systeme sind nie gefährdet. Alle Produkte erhalten für diese Leistung 35 Punkte für ihren Schutz-Score.

Microworld hat in je einem Szenario mit einem Data Stealer und einer Ransomware das Problem, dass es nichts erkennt. Beide Angreifer sammeln bzw. verschlüsseln ungestört die Daten. Daher verliert Microworld einmal 4 und einmal 3 Punkte. So bleiben noch 28 Punkte für den Schutz-Score.

Jedes Privatanwender-Produkt im Test, welches 75 Prozent der 35 Punkte (das sind 26,3 Punkte) als Schutz-Score erreicht, erhält das Zertifikat „Advanced Certified“. Alle Produkte erhalten das Zertifikat.

Advanced Test: Schutz für Unternehmen

Die 15 Unternehmensprodukte im Advanced Threat Protection-Test für den Endpoint unter Windows 11 kommen von Acronis, AhnLab, Bitdefender (mit 2 Versionen),  Check Point, Kaspersky (mit 2 Versionen), Malwarebytes, Microsoft, Seqrite, Symantec, Trellix, VMware, WithSecure und Xcitium.

Die größte Gruppe mit 12 Produkten besteht den Test mit den besten Werten und erhält jeweils volle 35 Punkte für den Schutz-Score: Acronis, AhnLab, Bitdefender Version Ultra, Check Point, Kaspersky (beide Versionen), Malwarebytes, Microsoft, Seqrite, Symantec, WithSecure und Xcitium.

Bitdefender Endpoint Security kann zwar in allen 10 Testszenarien die Angreifer erkennen, aber in 2 Fällen mit Ransomware die Angreifer nicht komplett aufhalten. Es greifen zwar noch einige Gegenaktionen, aber am Ende kommt es in beiden Fällen zu einer teilweisen Verschlüsselung von einzelnen Dateien. Dafür gibt es Punktabzug. Es bleiben somit noch 33 von 35 möglichen Punkten für den Schutz-Score.

Trellix arbeitet in 9 Fällen ohne Tadel, aber bei einem Data Stealer gibt es massive Probleme. Das Produkt kann den Angreifer zwar erkennen, aber nichts gegen ihn unternehmen. In diesem einen Fall bleiben von 4 Punkten nur noch 0,5 übrig. Somit ergibt sich nach dem Test ein Schutz-Score von 31,5 Punkten.

Die größten Probleme im Test hat das Produkt von VMware. Es kann einen Data Stealer weder erkennen noch aufhalten, und der Angriff nimmt seinen Lauf. Das macht volle 4 Punkte Abzug und am Ende einen Schutz-Score von 31 Punkten.

Jedes Produkt für Unternehmen, welches 75 Prozent der 35 Punkte (das sind 26,3 Punkte) als Schutz-Score erreicht, erhält das Zertifikat „Advanced Approved Endpoint Protection“. Alle Produkte erhalten das Zertifikat, außer Acronis. Es schließt den Test zwar fehlerfrei ab, aber ein Zertifikat erhält nur, wer auch im regulären Monatstest zertifiziert ist und hier die Kriterien erfüllt.

Keine Angst vor Data Stealern und Ransomware

Der aktuelle Advanced Threat Protection-Test geht weit über die klassischen Erkennungstests hinaus. Gerade die Aktualität der Data Stealer- und Ransomware-Exemplare mit der verwendeten Angriffstechnik „Inline Execute-Assembly“ stellt viele Schutzlösungen vor eine harte Herausforderung. Umso erfreulicher ist das aktuelle Ergebnis, bei dem die meisten der untersuchten Produkte eine fehlerfreie Verteidigung der Windows-Systeme leisten: 9 der 10 Produkte für den Hausgebrauch und 12 der 15 Unternehmenslösungen.

Die übrigen Hersteller mit ihren Produkten müssen aus ihren Fehlern lernen und noch besser werden. Wenigstens gab es nur Fehler und keine harten Gesamtausfälle.

Privatanwender 04/2023

V3 Internet Security
Internet Security
SAFE
Standard
Premium
Total Protection
Defender Antivirus (Consumer)
eScan Internet Security Suite
Norton 360
Application Allowlisting

Unternehmenslösungen 04/2023

Cyber Protect
V3 Endpoint Security
Endpoint Security (Ultra)
Endpoint Security
Endpoint Security
Endpoint Security
Small Office Security
Endpoint Protection
Defender Antivirus (Enterprise)
Endpoint Security
Endpoint Security Complete
Endpoint Security
Carbon Black Cloud
Elements Endpoint Protection
Client Security

Social Media

Wir wollen mit Ihnen in Kontakt bleiben! Erhalten Sie unkompliziert und regelmäßig die aktuellsten News und Testveröffentlichungen.